Hvis millioner av servere, rutere, switchere og personlige datamaskiner er vidt åpne for individuelle hackere, hvor mye mer til useriøse myndigheter eller etterretningsbyråer? ⁃ TN Editor
Lucas Lundgren satt ved skrivebordet sitt da han så på fengselscelledører hundrevis av kilometer unna ham som åpnet og lukket.
Han kunne se de forskjellige kommandoene sveve over skjermen i ukryptert ren tekst. "Jeg kunne til og med gi kommandoer som" alle celleblokker åpnes ", sa han i en telefonsamtale i forrige uke. Uten å være der kunne han ikke vite helt sikkert om hans handlinger ville ha hatt virkelige konsekvenser.
"Jeg ville sannsynligvis bare vite det ved å lese om det i avisen dagen etter," sa Lundgren, senior sikkerhetskonsulent i IOActive, før Black Hat-samtalen i Las Vegas forrige uke.
Det er fordi disse celledørene styres av en lite kjent, men populær meldingsprotokoll med åpen kildekode kjent som MQTT, som lar IOT-sensorer og smarte enheter med lav strøm, internettilkobling (IoT) kommunisere med en sentral server ved hjelp av liten båndbredde - slik at fengselsvakter fjernstyrer låsene på en celledør. Protokollen brukes overalt - av hobbyister hjemme, men også i industrielle systemer som målere og sensorer, elektroniske reklametavler og til og med medisinsk utstyr.
Men alt for ofte er serverne som lytter til enheter og sender kommandoer ikke beskyttet med et brukernavn eller passord, slik at alle med en internettforbindelse kan se på en av de 87,000 XNUMX ubeskyttede serverne, ifølge Lundgrens portskanning.
"Det er en skummel situasjon," sa han. "Ikke bare kan vi lese dataene - det er ille nok - men vi kan også skrive til dataene."
Lundgren har sett hjerteovervåker og insulinpumper som kontinuerlig oppdaterer data over protokollen, slik at en lege kan lese den eksternt på en webside og gjøre endringer, sa han. "Hvis jeg ønsket å være ondsinnet, kunne jeg sannsynligvis endre insulin eller noe, og se hva som skjer," sa han.
Gjennom sine skanninger fant han servere fra hele verden, som kjørte alt fra hjemmeautomatisering og alarmsystemer, til atomkraftverk, en partikkelakselerator - og til og med en oljeledning.
wpDiscuz